Listado de amenazas y programas desconocidos permitidos

El administrador dispone de varios paneles y listados para obtener información sobre los programas que inicialmente fueron bloqueados por Advanced EDR y cuya ejecución ha sido permitida:

  • El panel Elementos detectados permitidos por el administrador.

  • El listado Elementos detectados permitidos por el administrador.

  • El listado Historial de elementos permitidos por el administrador.

Elementos detectados permitidos por el administrador

Muestra los elementos que Advanced EDR bloqueó inicialmente, pero cuya ejecución fue permitida por el administrador con posterioridad. Estos elementos fueron considerados como una amenaza o son ficheros desconocidos en proceso de clasificación.

Panel Elementos detectados permitidos por el administrador

Descripción de las series

El panel representa el número total de elementos que el administrador excluyó del bloqueo, desagregados por su tipo:

  • Malware

  • PUP

  • En clasificación

  • Exploits y drivers

  • Ataque de red

Filtros preestablecidos desde el panel

Zonas activas del panel Elementos detectados permitidos por el administrador

Haz clic en las zonas indicadas en Zonas activas del panel Elementos detectados permitidos por el administrador para abrir el listado Listado Elementos permitidos por el administrador con los filtros preestablecidos mostrados a continuación:.

Zona activa Filtro

(1)

Sin filtros.

(2)

Clasificación = malware.

(3)

Clasificación = PUP.

(4)

Clasificación = En clasificación (bloqueados y sospechosos).

(5)

Clasificación = Exploits y drivers

(6)

Clasificación = Ataque de red.

Definición de los filtros del listado Programas permitidos por el administrador

Listado Elementos permitidos por el administrador

Muestra todos los elementos considerados amenazas que el administrador ha permitido.

Campo Descripción Valores

Clasificación

Tipo de la amenaza a la que se permite la ejecución.

  • Malware

  • PUP

  • Goodware

  • Exploits y drivers

  • En clasificación

  • Ataque de red

Amenaza

Nombre del elemento cuya ejecución se permite.

  • Si es un elemento desconocido el campo está vacío.

  • Si es un exploit se indica la técnica de explotación utilizada.

  • Si es un ataque de red se indica su tipo.

Cadena de caracteres

Detalles

Nombre del fichero que contiene la amenaza.

  • Si es un elemento desconocido se indica el nombre del fichero en clasificación.

  • Si es un exploit se indica el nombre del fichero que fue explotado.

  • Si es un ataque de red se indican las direcciones IP desde las cuales se permite el tipo de ataque de red.

Cadena de caracteres

Hash

Cadena resumen de identificación del archivo.

Vacío si es un exploit o un ataque de red.

Cadena de caracteres

Nombre de usuario

Cuenta de usuario de la consola que añadió la exclusión del elemento.

Cadena de caracteres

Permitido el

Fecha en la que se produjo el evento.

Fecha

Borrar

Elimina la exclusión del elemento.

 

Campos del listado Elementos detectados permitidos por el administrador
Campos incluidos en fichero exportado
Campo Descripción Valores

Detalles

Nombre del fichero que contiene la amenaza.

  • Si es un elemento desconocido se indica el nombre del fichero en clasificación.

  • Si es un exploit se indica el nombre del fichero que fue explotado.

  • Si es un ataque de red se indican las direcciones IP desde las cuales se permite el tipo de ataque de red.

Cadena de caracteres

Tipo actual

Clasificación en el momento actual de la amenaza cuya ejecución se permitió.

  • Malware

  • PUP

  • Goodware

  • Exploits y drivers

  • En clasificación

  • Ataque de red

Tipo original

Clasificación de la amenaza cuya ejecución se permitió en el momento en que se detectó por primera vez.

  • Malware

  • PUP

  • Goodware

  • Exploit

  • En clasificación

  • Ataque de red

Amenaza

Nombre del elemento cuya ejecución se permite.

  • Si es un elemento desconocido el campo está vacío.

  • Si es un exploit se indica la técnica de explotación utilizada.

  • Si es un ataque de red se indica su tipo.

Cadena de caracteres

Hash

Cadena resumen de identificación del archivo.

Vacío si es un exploit o un ataque de red.

Cadena de caracteres

Nombre de usuario

Cuenta de usuario de la consola que inicio el cambio en el fichero permitido.

Cadena de caracteres

Permitido el

Fecha en la que se registró el evento.

Fecha

Campos del fichero exportado Programas permitidos por el administrador
Herramienta de filtrado
Campo Descripción Valores

Buscar

  • Detalles: detalles de la amenaza.

  • Amenaza: nombre de la amenaza detectada.

  • Nombre de usuario: cuenta de usuario de la consola que añadió la exclusión del elemento.

  • Hash: cadena resumen de identificación del archivo.

Enumeración

Clasificación

Tipo del fichero en el momento en el que se clasificó por última vez.

  • Todos

  • Malware

  • PUP

  • Goodware

  • Exploit

  • Ataque de red

  • En clasificación (Bloqueados y sospechoso)

Clasificación original

Tipo del fichero en el momento en el que se comenzó a permitir su bloqueo.

  • Todos

  • Malware

  • PUP

  • En clasificación (Bloqueado)

  • En clasificación (Sospechoso)

  • Exploit

  • Ataque de red

Campos de filtrado para el listado Programas permitidos por el administrador

Listado Historial de elementos permitidos por el administrador

Muestra un histórico de todos eventos que se han producido a lo largo del tiempo relativos a las amenazas y ficheros desconocidos en clasificación cuya ejecución permitió el administrador. El listado muestra el ciclo de estados completo de un elemento, desde que entra en el listado de Elementos detectados permitidos por el administrador hasta que lo abandona, pasando por todos los cambios de estado intermedios que Advanced EDR o el administrador provoque.

Este listado no tiene un panel asociado, y es accesible únicamente mediante el botón Historial, situado en la esquina superior derecha del listado Elementos detectados permitidos por el administrador.

Campo Descripción Valores

Clasificación

Tipo de la amenaza cuya ejecución se permitió.

  • Malware

  • PUP

  • Goodware

  • Exploit

  • En clasificación

  • Ataque de red

Amenaza

Nombre del elemento cuya ejecución se permite.

  • Si es un elemento desconocido el campo está vacío.

  • Si es un exploit se indica la técnica de explotación utilizada.

  • Si es un ataque de red se indica su tipo.

Cadena de caracteres

Detalles

Nombre del fichero que contiene la amenaza.

  • Si es un elemento desconocido se indica el nombre del fichero en clasificación.

  • Si es un exploit se indica el nombre del fichero que fue explotado.

  • Si es un ataque de red se indican las direcciones IP desde las cuales se permite el tipo de ataque de red.

Cadena de caracteres

Hash

Cadena resumen de identificación del archivo.

Vacío si es un exploit o un ataque de red.

Cadena de caracteres

Acción

Acción aplicada sobre el elemento permitido.

  • Exclusión eliminada por el usuario: el administrador permitió bloquear de nuevo el elemento.

  • Exclusión eliminada por reclasificación:Advanced EDR aplica la acción asociada a la categoría obtenida de la reclasificación.

  • Exclusión añadida por el usuario: el administrador permitió ejecutar el elemento.

  • Exclusión mantenida por reclasificación: Advanced EDR no bloqueó el elemento al reclasificarlo.

Enumeración

Nombre de usuario

Cuenta de usuario de la consola que inicio el cambio en el fichero permitido.

Cadena de caracteres

Permitido el

Fecha en la que se registró el evento.

Fecha

Campos del listado Historial de Programas permitidos por el administrador
Campos incluidos en fichero exportado
Campo Descripción Valores

Detalles

Nombre del fichero que contiene la amenaza.

  • Si es un elemento desconocido se indica el nombre del fichero en clasificación.

  • Si es un exploit se indica el nombre del fichero que fue explotado.

  • Si es un ataque de red se indican las direcciones IP desde las cuales se permite el tipo de ataque de red.

Cadena de caracteres

Tipo actual

Clasificación en el momento actual de la amenaza cuya ejecución se permitió.

  • Malware

  • PUP

  • Exploit

  • Bloqueado

  • Sospechoso

  • Ataque de red

Tipo original

Clasificación de la amenaza cuya ejecución se permitió en el momento en que se detectó por primera vez.

  • Malware

  • PUP

  • Exploit

  • Bloqueado

  • Sospechoso

  • Ataque de red

Amenaza

Nombre del malware o PUP cuya ejecución se permite.

Si es un elemento desconocido, se indica el nombre del fichero en su lugar. Si se trata de un exploit o de un ataque de red, se indica la técnica de explotación utilizada.

Cadena de caracteres

Hash

Cadena resumen de identificación del archivo.

Si se trata de un exploit o de un ataque de red este campo estará vacío.

Cadena de caracteres

Acción

Acción aplicada sobre el elemento permitido.

  • Exclusión eliminada por el usuario: el administrador permitió bloquear de nuevo el elemento.

  • Exclusión eliminada por reclasificación: Advanced EDR aplica la acción asociada a la categoría obtenida de la reclasificación.

  • Exclusión añadida por el usuario: el administrador permitió ejecutar el elemento.

  • Exclusión mantenida por reclasificación: Advanced EDR no bloqueó el elemento al reclasificarlo.

Enumeración

Nombre de usuario

Cuenta de usuario de la consola que añadió la exclusión del elemento.

Cadena de caracteres

Permitido el

Fecha en la que se produjo el evento.

Fecha

Campos del fichero exportado Historial de elementos permitidos por el administrador
Herramienta de filtrado
Campo Descripción Valores

Buscar

  • Detalles: detalles de la amenaza.

  • Usuario: cuenta de usuario de la consola que añadió la exclusión del elemento.

  • Hash: cadena resumen de identificación del archivo.

Enumeración

Clasificación

Tipo del fichero en el momento en el que se clasificó por última vez.

  • Todos

  • Malware

  • PUP

  • Goodware

  • Exploit

  • Ataque de red

  • En clasificación (Bloqueados y sospechoso)

Clasificación original

Tipo del fichero en el momento en el que se comenzó a permitir su bloqueo.

  • Todos

  • Malware

  • PUP

  • En clasificación (Bloqueado)

  • En clasificación (Sospechoso)

  • Exploit

  • Ataque de red

Acción

Acción aplicada sobre el elemento permitido.

  • Exclusión eliminada por el usuario: el administrador permitió bloquear de nuevo el elemento.

  • Exclusión eliminada por reclasificación: Advanced EDR aplica la acción asociada a la categoría obtenida de la reclasificación.

  • Exclusión añadida por el usuario: el administrador permitió ejecutar el elemento.

  • Exclusión mantenida por reclasificación: Advanced EDR no bloqueó el elemento al reclasificarlo.

Enumeración

Campos de filtrado para el listado Historial de elementos permitidos por el administrador